Auf Windows-Ereignisse reagieren

Sehr oft möchte man als Administrator über bestimmte Ereignisse die im Ereignisprotokoll erscheinen, sofort informiert werden. Hier gibt es verschiedene Möglichkeiten, dieses Ziel zu erreichen.

Die Administratoren, die einen Windows 2003 Server einsetzen, können auf ein Tool zurückgreifen, was sich „eventtriggers“ nennt. Mit diesem Tool ist der Administrator in der Lage, auf von ihm definierte Ereignisprotokolleinträge entsprechend zu reagieren. Dieses Tool ist im Lieferumfang von Windows XP Professional und Windows 2003 enthalten.

Ein einfacher Aufruf von „eventriggers /?“ liefert folgende Ausgabe:

Eventtriggers bietet hier drei mögliche Parameter. Mit „/create“ kann man einen Eventtrigger anlegen, mit „/delete“ kann man einen oder mehrere Eventtrigger löschen und mit „/query“ alle angelegten Eventtrigger anzeigen lassen.
Mit „eventtriggers /create“ kann man also einen neuen Trigger erstellen. Zusätzlich kann angegeben werden, welcher Task ausgeführt werden soll, wenn dieses Ereignis eintritt.
Stellen wir uns vor, wir möchten über jeden fehlgeschlagenen Anmeldeversuch an der Domäne informiert werden. Dafür müssen wir das Sicherheitsprotokoll nach Ereignis IDs mit der Nummer „529“ überwachen. Als auszuführenden Task, habe ich hier der Einfachheit halber nur eine Batchdatei gewählt, die per „net send“ eine Nachricht an den „PC1“ sendet. Man könnte natürlich hier auch eine E-Mail über „Blat“ an das Postfach des Administrators versenden.

Inhalt der alarm.bat:
net send pc1 „ALARM-ungültiger Anmeldeversuch“

Jetzt muss nur noch der Eventtrigger angelegt werden:
eventtriggers /create /l security /eid 529 /tr „Anmeldefehler“ /ru domaenedienstkonto /rp passwort /tk c:alarm.bat

Erklärung der Parameter:

/l – gibt das zu überwachende Ereignisprotokoll an.
/eid – gibt die zu überwachende Ereignis ID an.
/tr – definiert für den Trigger einen „friendly Name“
/ru – gibt das Benutzerkonto an, was verwendet wird, um den definierten Task zu starten.
/rp – gibt das Kennwort für das Benutzerkonto an.
/tk – gibt die ausführbare Datei an, die bei Eintreten des Tasks gestartet werden soll.

Wenn alles richtig eingegeben wurde, sollte die Registrierung des Triggers erfolgreich sein.

Ab sofort ist der Eventtrigger aktiv und verschickt eine „net send“ Meldung bei jedem fehlgeschlagenen Anmeldeversuch an der Domäne. Zu beachten ist hier, dass dieser Trigger auf jedem Domänencontroller der Domäne gesetzt werden muss.Wenn man jetzt mehrere Eventtrigger gesetzt hat, dann möchte man eventuell alle aktiven Trigger auf einem Rechner einsehen. Hierbei ist der Befehl „eventtriggers /query“ hilfreich.Wer es hier etwas ausführlicher wissen möchte, der kann noch zusätzlich den Parameter „/v“ für diesen Befehl nutzen.

Um diesen Eventtrigger vom System zu entfernen, nutzt man „eventtriggers /delete /TID 1“. Das „TID“ steht hier für die Trigger-ID, die in der Ausgabe von „eventtriggers /query“ ersichtlich ist. Wenn man alle auf dem System definierten Trigger entfernen möchte, so kann man dies über die Eingabe von „eventtriggers /delete /TID *“ tun.